Spring Security 认证流程分析,带你Debugger

于 2023-03-21 09:55:42 发布
阅读量306 收藏
点赞数
文章标签: spring java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ww2651071028/article/details/129682140
版权
本文深入剖析Spring Security的默认表单认证流程,从启动项目、发起POST登录请求开始,逐步分析AbstractAuthenticationProcessingFilter、UsernamePasswordAuthenticationFilter、AuthenticationManager、ProviderManager和AuthenticationProvider等关键组件的作用,揭示Spring Security认证过程的细节。
摘要由CSDN通过智能技术生成

前言

对 Spring Security 的文章也写了好几篇了,有基本使用的,有对其进行自定义逻辑的。但那时各位肯定不知道为什么需要这么去定义。所以,本篇呢,来理一理 Spring Security 中默认的表单认证流程源码!

依赖版本

名称 版本
spring-boot-starter-parent 2.3.12.RELEASE
spring-boot-starter-security 2.3.12.RELEASE
spring-security-web 5.3.9.RELEASE

调试开始

就加入 Spring Security 依赖后,启动项目,访问登录页面,在页面输入默认的用户名、密码后,点击提交按钮,会发起一个请求类型为 POST,请求路径为 /login 的接口。 该请求会被 Spring Security 的过滤器链代理拦截。

该请求会来到 UsernamePasswordAuthenticationFilter

UsernamePasswordAuthenticationFilter 这个对象是怎么来的呢? 我们可以看看 WebSecurityConfigurerAdapter 抽象类中的 configure(HttpSecurity http) 方法中提供了一个默认的配置,代码如下:

protected void configure(HttpSecurity http) throws Exception {
    logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
​
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin().and()
        .httpBasic();
}
复制代码
  • authorizeRequests:允许使用 RequestMatcher 实现(即通过URL模式)基于 HttpServletRequest 限制请求访问。
  • anyRequest().authenticated():请求都需要被认证
  • formLogin:指定支持基于表单的身份验证。如果 FormLoginConfigurer未指定 loginPage,将生成默认登录页。
  • httpBasic:可以配置basic登录

进入 formLogin 方法。

public FormLoginConfigurer<HttpSecurity> formLogin() throws Exception {
   return getOrApply(new FormLoginConfigurer<>());
}
复制代码

可以看到这里创建了一个 FormLoginConfigurer对象,FormLoginConfigure是一个用户名密码表单登录的配置类,比如设置登录页面的Url,登录请求的Url 、登录认证成功、认证失败的回调、设置登录请求参数名等等。

public FormLoginConfigurer() {
   super(new UsernamePasswordAuthenticationFilter(), null);
   usernameParameter("username");
   passwordParameter("password");
}
复制代码

在其无参构造方法中,创建了一个 UsernamePasswordAuthenticationFilter 对象。将其传递给父类,父类会将该过滤器添加到过滤器链中。

AbstractAuthenticationProcessingFilter

上面说到请求会来到 UsernamePasswordAuthenticationFilter,但是它继承了 AbstractAuthenticationProcessingFilter,所以请求会先进入 AbstractAuthenticationProcessingFilter抽象类中,它是一个 Filter,那我们将断点打在 doFilter 方法中。

介绍一下 chain 中的属性,originalChain 表示原生的过滤器链,也就是 Web Filter;additionalFilters 表示 Spring Security 中的过滤器链;firewalledRequest 表示当前请求;size 表示过滤器链中过滤器的个数;currentPosition 则是过滤器链遍历时候的下标。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {

   HttpServletRequest request = (HttpServletRequest) req;
   HttpServletResponse response = (HttpServletResponse) res;
   // 进行请求过滤,判断当前调用的请求是否有适配的 xxxAuthenticationFilter 处理
   // 因为 AbstractAuthenticationProcessingFilter 是一个过滤器,那就代表所有的接口请求都会进入该类的 doFilter 方法,
   // 但又不是所有接口都是需要进行登录认证流程的,所以提前进行请求匹配过滤
   if (!requiresAuthentication(request, response)) {
      chain.doFilter(request, response);

      return;
   }

   if (logger.isDebugEnabled()) {
      logger.debug("Request is to process authentication");
   }

  // 身份验证对象
   Authentication authResult;

   try {
     // 调用子类具体实现的 attemptAuthentication(尝试身份验证) 方法
      authResult = attemptAuthentication(request, response);
      if (authResult == null) {
         return;
      }
      // 认证成功时,session 会话需要执行的逻辑
      sessionStrategy.onAuthentication(authResult, request, response);
   }
   catch (InternalAuthenticationServiceException failed) {
   	 // 身份验证失败的默认处理
   	 // 1、清除 SecurityContextHolder
	 // 2、通知配置的RememberMeServices登录失败
	 // 3、将其他行为委托给 AuthenticationFailureHandler,调用其登录失败回调方法(实际开发中会重写AuthenticationFailureHandler接口)
      unsuccessfulAuthentication(request, response, failed);
      return;
   }
   catch (AuthenticationException failed) {
      // Authentication failed
      unsuccessfulAuthentication(request, response, failed);
      return;
   }

   // 认证成功
   // 在successfulAuthentication执行前继续执行过滤器(默认为 false)
   if (continueChainBeforeSuccessfulAuthentication) {
      chain.doFilter(request, response);
   }
 	// 身份验证成功的处理
    // 1、在Sec
最低0.47元/天 解锁文章
Java技术攻略
关注
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8062
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
SpringBoot整合SpringSecurity(三)验证码登陆
fulinlin的博客
06-21 2140
上一篇文章我们跟踪源码了解到了security整个的登陆流程,这一篇我们就基于这个流程来做一个自己定义的流程,并与security对接。本篇中介绍的是短信登陆,当然验证码登陆跟这个原理是一样的就不多说了。 本文章代码可以参考 https://gitee.com/Maoxs/security-test中的 security-code 准备页面 <!DOCTYPE html> <...
Spring security认证DEBUG源码分析
tpaer的博客
02-28 1340
Spring security认证进行DEBUG源码分析
spring security debug 小结
任香980101
05-21 790
有时需要在默认的filter之前定义自己的filter来改变原来的实现  但假如知道原来的filter的bean的默认名字之后 往往可以直接配置原来的filter &lt;beans:bean id="logoutFilter" class="org.springframework.security.ui.logout.LogoutFilter"&gt;     &lt;custom-fi...
SpringSecurity--认证的配置以及debug流程跟踪
sout
01-28 3312
第四章 认证 使用数据库保存/查询用户数据,完成认证功能 4.1 方式一:重写jdbcAuthentication规则(不推荐) 基于数据库的RBAC查询出我们需要的用户以及这些用户的权限(权限标识、角色) 创建和SpringSecurity要求一模一样的表,然后用默认jdbcAuthentication 更新jdbcAuthentication里面所有我们需要实际运行的sql aut...
spring-security-debug日记
qq_43876243的博客
08-04 506
1、前端页面报错:index.html:1 Refused to display ‘http://localhost:8080/admin-list.html’ in a frame because it set ‘X-Frame-Options’ to ‘deny’. 后端可以查询 网上查询说是跨域问题; 添加此配置 @EnableWebSecurity @Configuration public class WebSecurityConfig extends DefaultWebSecurityCon
10-SpringBoot工程中Spring Security应用实践
雨田说码
09-09 3373
SpringSecurity 应用 简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 认证授权分析 用户在进行资源
最简单的SpringSecurity的体验
Logic_YSY的博客
09-21 276
文章目录最简单的SpringSecurity的入门1. 构建一个项目2.项目的启动 最简单的SpringSecurity的入门 spring securityspring 生态的一个子项目,是一整套体系的一小部分。 spring security是一个安全框架,跟Shiro是同类的产品,但大多数的人都说 shiro 比较简单,入手比较容易,但我没有了解过,这里不做评论。 1. 构建一个项目 spring boot 的项目,项目的基本配置 spring boot 版本的版本号是最新的 jdk的版本
spring3.0 MVC笔记4-集成spring security
热门推荐
concen的专栏
11-09 1万+
spring3.0 MVC笔记4-集成spring security3.1 1、下载spring security,集成下列jar包: --spring-security-config-3.1.3.RELEASE.jar --spring-security-core-3.1.3.RELEASE.jar --spring-security-taglibs-3.1.3.RELEASE.jar
SpringSecurity学习笔记
qq_43960768的博客
08-23 1002
SpringSecurity认证以及授权 JWT认证、JSON认证 URL权限管理 方法权限管理 动态权限管理
Idea中查看SpringSecurity各Filter信息
Rosen's
08-17 1919
SpringSecurity认证逻辑是通过Filter Chain实现的,一个项目中Filter是链式执行,其中一环校验不通过,则可终止后续Filter以及Api的调用。在平时debug时,如果list中的数据很多,凭肉眼去找肯定很难找,通过右键对象出来的filter很难用,可以通过Evaluate进行代码过滤,方便又快捷。在Filter的实现类中,doFilter方法里调用chain的doFilter方法,表示当前过滤器通过,继续FilterChain的下一个Filter。...
Spring Security开发调试记录
qq_40930171的博客
06-26 912
Spring Security+jwt开发调试记录 首先需要在工程的websecurityconfig文件中添加这样一个注解 由于问题出在密码正确却无法登录,因此从认证方面找原因,选择在attemptAuthentication函数中设置断点 可以看到拦截器顺利的获取到了来自于前端的信息,这至少证明,来自于前端的信息是没有问题的,接着往下走。 在这一行stepinto 这句话的意思是获取当前的一个authenticationManager变量并调用其中的authenticate()函数,查看一下authe
spring-security的学习(一)
m0_48187193的博客
10-23 430
本新人&菜鸡充电中......
Spring Security是什么? - 密码认证(四)
最新发布
梁老师教你编程序
11-03 686
Spring Security当中,认证的过程,首先是获取用户名,然后通过用户名在数据库当中获取到用户的完整信息,然后根据用户信息再去 比对用户的密码。用户登录时,密码匹配阶段并没有进行密码解密(因为密码经过Hash处理,是不可逆的),而是使用相同的算法把用户输入的密码进行hash处理,得到密码的hash值,然后将其与从数据库中查询到的密码hash值进行比较。在注册用户的时候,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。
Spring security常见用法(一)
攀登Fox的博客
05-05 775
目录1、自定义用户名和密码2、自定义登录成功跳转地址3、自定义登录失败跳转地址4、常见授权匹配方式5、常见内置访问控制方法6、常见角色权限判断方法7、自定义无权限403返回信息 1、自定义用户名和密码 在Spring security中用户名默认为username字段,密码默认为password字段,这些是在过滤器UsernamePasswordAuthenticationFilter中定义好的。...
史上最简单的Spring Security教程(二十四):自定义用户名密码参数名及用户名密码验证路径
银河架构师的博客
08-24 2711
​无论是表单登录配置器(FormLoginConfigurer),还是用户密码验证Filter(UsernamePasswordAuthenticationFilter),Spring Security默认的用户名、密码参数名均为username、password。 表单登录配置: public FormLoginConfigurer() { super(new UsernamePasswordAuthenticationFilter(), null); usernamePa...
Spring Security之AuthenticationManager、ProviderManager、AuthenticationProvider用户认证源码分析
OceanSky的专栏
08-07 6299
Spring Security之AuthenticationManager、ProviderManager、AuthenticationProvider用户认证源码分析 AuthenticationManager类源码解析 public interface AuthenticationManager { Authentication authenticate(Authentication aut...
springsecurity核心源码解析
json20080301的专栏
02-23 474
1.FilterChainProxy构造过程2.WebSecurityConfiguration将FilterChainProxy添加到spring容器 @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME) public Filter springSecurityFilterChain() thro...
Spring Security小教程 Vol 3. 身份验证的入口-AbstractAuthenticationProcessingFilter
weixin_34352005的博客
03-25 3078
前言 结合上一期我们介绍的AuthenticationManager为入口的身份验证的核心模块,我们这次讨论的是为了使SpringSecuritySpring Web项目提供支持,作为验证请求入口的。 第三期 Authentication核心简介 本期的任务清单 AbstractAuthenticationProcessingFilter的依赖组件; AbstractAuthenticatio...
简易操作流程:Windows平台Boot Debugger使用指南
资源摘要信息:"Boot_debugger_" 知识点一:Windows平台下的调试器简介 在Windows操作系统中,调试器是一种重要的工具,主要用于查找和修复软件中出现的错误。调试器通过运行程序的代码,在运行时逐步检查代码的执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值